はじめに
企業や個人がサイバー攻撃の脅威に絶えずさらされる昨今、対策としてファイアウォールやアンチウイルスソフトウェアを導入しているケースは多いでしょう。しかし、日々進化し複雑化する脅威に対抗するためには、こうした受動的な防御だけでなく、能動的に脅威を探し出して対処することが重要になってきています。この記事では、サイバー攻撃を未然に防ぐ能動的手段のひとつである「脅威ハンティング」について、基礎知識を解説します。
脅威ハンティングとは
脅威ハンティング(Threat Hunting・スレットハンティング)とは、「サイバーセキュリティ上の脅威がすでに組織のネットワーク内に侵入している」と仮定して、既知あるいは未知の脅威を主体的に探し出し、検出する手法を指します。ネットワーク内に潜んでいるかもしれない悪意ある活動や、不審な動きを積極的に探索することで、従来のセキュリティシステムが検知できなかった脅威を発見することを目的としています。
脅威ハンティングは「ゼロトラストセキュリティ」を踏まえたサイバー攻撃対策のひとつです。ゼロトラストセキュリティについてはこちら「ニューノーマル時代に不可欠なゼロトラストセキュリティとは?」をご覧ください。
注目される理由
脅威ハンティングが注目される背景にあるのは、近年におけるサイバー攻撃の複雑化・高度化です。サイバー攻撃の手法は常に進化しており、新たな脅威が日々生まれています。たとえば、ランサムウェアや標的型攻撃をさらに別の技術と組み合わせることで、標準的なセキュリティツールを回避する手口があります。
脅威ハンティングは、アンチウイルスソフトウェアや侵入防御システム(IPS)など既存のセキュリティ対策を補完し、サイバーセキュリティ上の脅威に対してより初期の段階で対応し、新たな手口に対抗する手段として注目されているのです。
従来のセキュリティ対策との違い
脅威ハンティングは従来のセキュリティ対策と異なり、能動的かつ継続的な探索を行うことが特徴です。従来のセキュリティ対策は主に既知の脅威への反応に重点を置いており、ファイアウォール・アンチウイルスソフトウェア・侵入検知システム(IDS)などのツールを使用して攻撃を防ぐか、攻撃が発生したあとでインシデント対応を行います。これに対して脅威ハンティングは、システム内部ですでに発生しているかもしれない、あるいは発生し得る潜在的な脅威に対して調査を行い、未知の攻撃を識別し対処することを目的とする点が異なります。
いつ実施すべきか
脅威ハンティングは以下のような状況での実施に加えて、日常のセキュリティ対策として、定期的かつ継続して行うことが推奨されます。
| ・セキュリティシステムが異常を検出したとき 潜在的な脅威がネットワーク内に存在する可能性があるため、積極的な調査が必要です。 ・セキュリティインシデントが発生したとき インシデント発生後のフォローアップとしてほかの脅威を特定し、今後のインシデント発生を予防します。 ・新たなサイバーセキュリティ上の脅威が報告されたとき 組織のネットワークが新しい脅威に対して脆弱ではないことを確認するために行います。 ・重要なITインフラの変更が行われたとき 新しいシステムやアップデートが新たな脆弱性をもたらす可能性がないかを調査します。 |
期待できる効果
脅威ハンティングには、ネットワーク内における悪意ある活動や不審な動きを早期に発見することで、問題が発生する前に対策を講じられる効果があります。実際に脅威が検出された場合に、迅速に対処することで被害の拡大を防げる効果も期待できます。
また脅威ハンティングを実施した結果、特に不審なものが見つからなかったとしても、端末やアプリケーションが通常どのように振る舞うかなど、自社ネットワークの状況や特徴を理解することが可能です。潜在的なセキュリティ上のリスクを把握することにつながり、組織のセキュリティ体制をより強化できます。
脅威ハンティングの流れ
一般的な脅威ハンティングでは、発生しうるインシデントについて仮説を立て、データ収集・調査・分析を実施し、脅威を検知した場合は対応を行います。具体的には以下のようなプロセスになります。
| 1.目標の設定と計画 脅威ハンティングの効率を高めるため、どのような脅威を探し、どのシステムやデータが重要であるかを特定します。 2.情報収集と仮説の作成 次に、ネットワークのデータ量や端末のデータなど調査対象のセキュリティ状況について情報を集め、どのような脅威が存在するか、攻撃者がどのような手法を使って侵入する可能性があるか仮説を立てます。 3.探索と調査 収集したデータを分析し、異常なパターンや攻撃の兆候を探します。疑わしい活動が見つかれば、それが本当にセキュリティリスクとなるかを判断します。 4.脅威への対処 脅威が確認された場合はその脅威を取り除き、侵害されたシステムの隔離・マルウェアの除去・脆弱性の修正など、将来的なリスクを減らすための対策を講じます。 5.分析と共有 インシデント後に、何が起こったのか・なぜ起こったのか・どのように防げたのかを分析します。この段階で得られた知見は、将来の脅威ハンティングの取り組みを改善するために使用されます。 |
脅威ハンティングに用いられる手法とツール
ここからは、脅威ハンティングにおける代表的な3つの手法と、それぞれに用いられるセキュリティ対策ツールの一部について解説します。脅威ハンティングの実施においては、こうした手法やツールから自社のニーズに適したものを選ぶことが大切です。
構造化ハンティング
構造化ハンティングは、既存のフレームワークを利用して脅威を探し出す手法です。攻撃者のTTP(Tactics-戦術・Techniquesー技術・Proceduresー手順)や、攻撃の痕跡といった指標に基づいて監視を行うことで、それらに合致する不審な活動を特定することが可能です。構造化ハンティングは、特に既知の攻撃や脅威に基づいた活動に対して効果を発揮します。
構造化ハンティングに用いられる代表的なツールには「SIEM」があります。SIEMは、組織のセキュリティ関連のデータをリアルタイムで収集・監視・分析し、脅威を検出するためのシステムです。ログ管理とセキュリティイベント管理の機能を統合しており、セキュリティインシデントの迅速な検出が行えます。
非構造化ハンティング
非構造化ハンティングは、定められたフレームワークやモデルに従うのではなく、侵害の痕跡やセキュリティアラートなどのトリガーを基にして、セキュリティ違反や不審な活動を探す手法です。非構造化ハンティングは新たな脅威や複雑な攻撃手法を発見できる可能性が高いですが、対応する人材に高度なスキルと熟練度が求められます。また、大量のデータを効率的に分析するためには分析用のツールが必要になります。
非構造化ハンティングに用いられる「UEBA」は、ユーザやシステムの行動をモニタリングし、分析するツールです。データを収集し、機械学習や統計分析、アルゴリズムを用いて、正常な行動パターンからの逸脱を検出します。これは、セキュリティ上のリスクや脅威を示している可能性があります。
状況ハンティング
状況ハンティングは、組織のネットワークやシステム内におけるセキュリティ関連のデータを統合的に分析し、潜在的な脅威を特定する手法です。組織のニーズに合わせてカスタマイズされ、とくにリスクの高いターゲットや資産を保護することに焦点を当てています。
状況ハンティングに用いられるツールには「EDR」があります。EDRは、エンドポイント(パソコンやスマートフォンなどの端末)におけるセキュリティ脅威を検出・調査・対応するためのツールです。エンドポイントにインストールすることでリアルタイムでの監視と分析を行い、マルウェアやサイバー攻撃の試みを識別し、必要に応じてインシデント対応を行います。
EDRに関連したセキュリティ対策ツールとして「XDR」があります。XDRについてはこちら「知っておきたい最新のセキュリティ対策、XDRとは?」をご覧ください。
脅威ハンティングの課題点
脅威ハンティングを実施するにあたってはいくつかの課題があります。脅威ハンティングの実施のためには、セキュリティログの収集を行うツールをはじめとした基本的なシステムの導入・整備が必要です。さらに、効率的な分析や迅速な対応を行うためには、ツール同士の連携をうまく行わなければなりません。
また、脅威ハンティングに携わる人材も必要です。サイバー攻撃は常に新しい手法が生まれ続けているため、継続的にスキルと知識を更新し続ける必要があります。そもそもセキュリティ人材は日本において不足しており、その確保・育成は多くの企業が直面している重要課題といえるでしょう。
セキュリティ対策に携わる組織の設置についてはこちら「セキュリティ対策は万全ですか?組織の設置でリスクを最小限に」をご覧ください。
まとめ
サイバー攻撃は絶えず進化し、これからも継続して存在し、さらに増加し続けるでしょう。脅威ハンティングは、そうしたサイバーセキュリティ上の脅威を未然に防ぐための重要な手段であり、企業のセキュリティ体制を強化する上で大切なプロセスです。しかしながら、脅威ハンティングを効果的に行うには自社に適したツールや技術、専門知識の更新が必要であり、定期的かつ継続した実施が不可欠です。自社内での対応が難しい場合は、柔軟に外部のサービスを利用することも選択肢のひとつといえるでしょう。
セラクでは、SOC運用やセキュリティ環境の構築など、情報資産を守るためのさまざまなサービスを提供しています。サイバーセキュリティ上の不安や課題に際しては、ぜひセラクにご相談ください。
